Spammail-Welle
- Thread starter Huschi
- Start date
F
flyingoffice
Guest
Hallo!
Zumindest beim Durchbrechen der Greylist habe ich sei ein paar Tagen das gleiche Gefühl. Das Ganze ist dann auch noch mit entsprechenden Bounces gepaart.
Gruß flyingoffice
Zumindest beim Durchbrechen der Greylist habe ich sei ein paar Tagen das gleiche Gefühl. Das Ganze ist dann auch noch mit entsprechenden Bounces gepaart.
Gruß flyingoffice
F
flyingoffice
Guest
Hallo!
Nachdem ich mir mal ein Paar angesehen habe, kann ich auch das bestätigen. Dabei habe ich aber zu meiner Freude festgestellt, daß meine inzwischen recht umfangreiche Bayes DB gepaart mir einem höheren Score in der Konfiguration fast alle als Spam erkennt.
Wenigstens ein kleiner Teilerfolg
Gruß flyingoffice
Die durchkommenden Emails haben aber u.a. Einwahl-IP's als Absender.
Nachdem ich mir mal ein Paar angesehen habe, kann ich auch das bestätigen. Dabei habe ich aber zu meiner Freude festgestellt, daß meine inzwischen recht umfangreiche Bayes DB gepaart mir einem höheren Score in der Konfiguration fast alle als Spam erkennt.
Wenigstens ein kleiner Teilerfolg
Gruß flyingoffice
F
flyingoffice
Guest
Hallo!
Hier mal einer der typischen Kandidaten. Durchbrechen der Greylist und IP aus einer Dealup-Range.
Man nervt daß, ich hoffe das hört bald wieder auf
Gruß flyingoffice
Hier mal einer der typischen Kandidaten. Durchbrechen der Greylist und IP aus einer Dealup-Range.
Code:
May 2 14:10:34 h****** greylist[3977]: new message: xnnkx@temporarytattoos.com -> adresse@meinedomain.tld (65.40.37.134)
May 2 14:10:34 h****** greylist[3977]: status: blocked; reason: triplet doesn't exist, greylisted for 5 minutes
...
May 2 14:20:40 h****** greylist[5670]: new message: xnnkx@temporarytattoos.com -> adresse@meinedomain.tld (65.40.37.134)
May 2 14:20:40 h****** greylist[5670]: status: passed; reason: triplet exists and block has already expired; id: 78432
May 2 14:20:41 h****** spamd[9359]: spamd: connection from meinedomain.tld [127.0.0.1] at port 38110
May 2 14:20:41 h****** spamd[9359]: spamd: processing message <001501c78cb4$466eb1d0$5d36d696@ltjz> for qmaild:0
May 2 14:20:41 h****** spamd[9359]: spamd: identified spam (13.0/5.0) for qmaild:0 in 0.4 seconds, 3877 bytes.
May 2 14:20:41 h****** spamd[9359]: spamd: result: Y 12 - BAYES_99,HELO_DYNAMIC_IPADDR,RCVD_IN_BL_SPAMCOP_NET scantime=0.4,size=3877,user=qmaild,uid=0,required_score=5.0,rhost=meinedomain.tld,raddr=127.0.0.1,rport=38110,mid=<001501c78cb4$466eb1d0$5d36d696@ltjz>,bayes=1,autolearn=no
May 2 14:20:41 h****** qsheff[5674]: new message: xnnkx@temporarytattoos.com -> adresse@meinedomain.tld (65.40.37.134)
May 2 14:20:41 h****** qsheff[5674]: clamav status: clean
May 2 14:20:41 h****** spamd[5323]: prefork: child states: II
May 2 14:20:41 h****** qmail: 1178108441.670712 new msg 8592614
May 2 14:20:41 h****** qmail: 1178108441.670925 info msg 8592614: bytes 7051 from <xnnkx@temporarytattoos.com> qp 5677 uid 2020
May 2 14:20:41 h****** qmail: 1178108441.677993 starting delivery 218: msg 8592614 to local 1-adresse@meinedomain.tld
May 2 14:20:41 h****** qmail: 1178108441.678298 status: local 1/10 remote 0/20
May 2 14:20:41 h****** qsheff[5674]: QUEUE, queue=q1178108440-883752-5674, recvfrom=65.40.37.134, from='xnnkx@temporarytattoos.com', to='adresse@meinedomain.tld', subj='{SPAM} has full ownership of and takes sole responsibility for all content.', size=6904
May 2 14:20:41 h****** qmail: 1178108441.772977 delivery 218: success: did_1+1+1/qp_5682/
May 2 14:20:41 h****** qmail: 1178108441.773082 status: local 0/10 remote 0/20
May 2 14:20:41 h****** qmail: 1178108441.773144 end msg 8592614Man nervt daß, ich hoffe das hört bald wieder auf
Gruß flyingoffice
Huschi
Moderator
Allein heute Nacht haben es 20 Emails geschafft am Greylisting vorbei zu kommen. Davon sind nur 6 im SpamFilter hängen geblieben.
Aber es sind immer wieder die selben:
Folgende SA-Regel blockt die nun zuverlässig:
huschi.
Aber es sind immer wieder die selben:
Code:
AN ALLE FINANZINVESTOREN!
DIESE AKTIE WIRD DURCHSTARTEN!
MITTWOCH 2. MAG STARTET DIE HAUSSE!
Company: ORAMED PHARMA
WKN : A0J3FG
ISIN : US68403P1049
Markt: Frankfurt
Code:
DER INVESTORALARM! OJU.F BEGINNT HOCHGEHEN! DONNERSTAG 3. MAG STARTET
DIE HAUSSE!
Company: ORAMED PHARMA
WKN : A0J3FG
ISIN : US68403P1049
Markt: FrankfurtFolgende SA-Regel blockt die nun zuverlässig:
Code:
body MYRULE_TradingDE /AN ALLE FINANZINVESTOREN|DER INVESTORALARM|ORAMED PHARMA/
score MYRULE_TradingDE 10.0huschi.
Guin
Registered User
Was sollen eigentlich diese Aktien Spam?
Man rennt doch deswegen nicht gleich zur Bank und ordert da Aktien. Vor allem haben die Spammer nichts direkt davon, oder doch?
Gibt es einen anderen Sinn?
Ich habe auch ein Problem mit dieser Art Spam. Das ist einfach zu aehnlich mit den normalen Mails.
Man rennt doch deswegen nicht gleich zur Bank und ordert da Aktien. Vor allem haben die Spammer nichts direkt davon, oder doch?
Gibt es einen anderen Sinn?
Ich habe auch ein Problem mit dieser Art Spam. Das ist einfach zu aehnlich mit den normalen Mails.
F
flyingoffice
Guest
Hallo!
Hm, also bei mir sortiert SA die brave aus, auch ohne die Definition einer eigenen Regel.
Gruß flyingoffice
Hm, also bei mir sortiert SA die brave aus, auch ohne die Definition einer eigenen Regel.
Code:
Vorschau der "Spam": DER INVESTORALARM! OJU.F BEGINNT HOCHGEHEN! DONNERSTAG 3.
MAG STARTET DIE HAUSSE! Company: ORAMED PHARMA WKN : A0J3FG ISIN : US68403P1049
Markt: Frankfurt Kurzel : OJU.F Letztr Kurs: 0.477 4 Tages Prognose: 2.15
[...]
Inhaltsanalyse im Detail: (19.8 Punkte, 5.0 benötigt)
Pkte Regelname Beschreibung
---- ---------------------- --------------------------------------------------
4.2 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr
1)
7.2 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
2.4 RCVD_IN_WHOIS_BOGONS RBL: CompleteWhois: sender on bogons IP block
[113.121.30.115 listed in combined-HIB.dnsiplists.completewhois.com]
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
[72.72.219.184 listed in dnsbl.sorbs.net]
3.9 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
[72.72.219.184 listed in sbl-xbl.spamhaus.org]Gruß flyingoffice
JPPeterson
Registered User
Die Spamwelle erfahre ich gerade auch.Noch nie wurde ich so sehr damit bombardiert.
Jedoch fast alle bleiben im Spamassasin hängen.Eine schafft es merkwürdigerweise immer durch
Jedoch fast alle bleiben im Spamassasin hängen.Eine schafft es merkwürdigerweise immer durch
Szenario:
- 1000 verschickte Mails mit diesem "supergeheim Tip"
- 100 der Empfänger, lassen sich hinreissen, kaufen Aktien
- darauf folgt eine Wertsteigerung, da Nachfrage stark erhöht ist
Bei den Aktien gehts es meistens um aktuelle Kurse von unter einem Euro. Wenn sich dann jemand mit diesen Aktien im Vorfeld (Spammer???) eindeckt, dann die Mails verschickt, hat der serwohl was davon ...
Wenn en Aktie nur von 10 auf 20 Cent steigt (und wenn es nur ein paar Stunden sind), macht das 100% Gewinn. Da sind doch schnell mal aus 1000 Euro, 2000 Euro geworden ...
So, denke ich, läuft das.
Oder ist das doch zu weit hergeholt?
JPPeterson
Registered User
Du hast es erfasst.Diese Masche scheint sehr viel Gewinn abzuwerfen.Ist ja auch logisch.
Und rechtlich wohl eher eine grauzone denn es gilt ja nicht unbedingt als verbotener "Insidertip"
Und Menschen die auf diese Masche reinfallen gibts ja wohl scheinbar genug
Und rechtlich wohl eher eine grauzone denn es gilt ja nicht unbedingt als verbotener "Insidertip"
Und Menschen die auf diese Masche reinfallen gibts ja wohl scheinbar genug
A
Andre.Ho
Guest
Ich habe heute das selbe analysiert und festgestellt, dass die meisten Greylist-Umgeher nach ca 600 Sekunden wiederkommen.
usw usf. Einige gehen noch höher. Mittelfristig wird Greylisting wohl keine Option mehr sein.
Ich habe jetzt noch ein paar weitere Checks zur SMTP Laufzeit in Postfix eingebunden. Die bisherige Methode, RBLs erst im Spamassassin abzufragen, ist ja schön und gut, Hosts die Unfug beim HELO/EHLO senden, oder Dialups ohne SASL gleich am Einliefern der Email zu hindern, erscheint mir am sinnvollsten.
Hier gibts ein paar interessante Infos dazu, für die Leute, die es noch nicht kennen:
Postfix Anti-Spam HOWTO auf deutsch / Postfix UCE HOWTO
Das sieht dann so aus:
Seitdem geht die Anzahl der empfangenen Emails laut Mailgraph etwas runter.
Code:
May 2 10:52:30 server4 postgrey: delayed 608 seconds: client=125.234.68.117, from=asunc@ccsi.com
May 2 10:54:07 server4 postgrey: delayed 602 seconds: client=host-216-220-114-11.dsl.bway.net, from=rfwkh@bellehaven.com,usw usf. Einige gehen noch höher. Mittelfristig wird Greylisting wohl keine Option mehr sein.
Ich habe jetzt noch ein paar weitere Checks zur SMTP Laufzeit in Postfix eingebunden. Die bisherige Methode, RBLs erst im Spamassassin abzufragen, ist ja schön und gut, Hosts die Unfug beim HELO/EHLO senden, oder Dialups ohne SASL gleich am Einliefern der Email zu hindern, erscheint mir am sinnvollsten.
Hier gibts ein paar interessante Infos dazu, für die Leute, die es noch nicht kennen:
Postfix Anti-Spam HOWTO auf deutsch / Postfix UCE HOWTO
Das sieht dann so aus:
Code:
May 3 21:12:27 server4 postfix/smtpd[819]: NOQUEUE: reject: RCPT from CBL217-132-70-174.bb.netvision.net.il[217.132.70.174]: 554 5.7.1 Service unavailable; Client host [217.132.70.174] blocked using dynablock.njabl.org; Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html; from=<shop@xxxx> to=<xxxx@xxxx> proto=SMTP helo=<CBL217-132-70-174.bb.netvision.net.il>
oder
May 3 21:15:09 server4 postfix/smtpd[819]: NOQUEUE: reject: RCPT from clt-84-32-253-83.vdnet.lt[84.32.253.83]: 450 4.7.1 <HOME-01.dtiltas.lt>: Helo command rejected: Host not found; from=<inroads@xxxx> to=<xxxx@xxxxx> proto=ESMTP helo=<HOME-01.dtiltas.lt>Seitdem geht die Anzahl der empfangenen Emails laut Mailgraph etwas runter.
Last edited by a moderator:
F
flyingoffice
Guest
Hallo!
Was den Delay angeht habe ich tatsächlich bei mir auch fast nur Werte um die 600 Sekunden.
BTW eine sehr schöne Information die Postgrey da im Log liefert. Das habe ich dann gleich mal in meinen Patch eingebaut. Danke für die indirekte Anregung
Gruß flyingoffice
Was den Delay angeht habe ich tatsächlich bei mir auch fast nur Werte um die 600 Sekunden.
BTW eine sehr schöne Information die Postgrey da im Log liefert. Das habe ich dann gleich mal in meinen Patch eingebaut. Danke für die indirekte Anregung
Code:
May 4 00:32:04 h****** greylist[28056]: status: passed; count: 671; reason: triplet exists and block has already expired; id: 21321
May 4 00:38:21 h****** greylist[28353]: status: passed; delay: 00:10:17; reason: triplet exists and block has already expired; id: 79055Gruß flyingoffice
A
Andre.Ho
Guest
Hm mein Postgray ist etwas weniger gesprächig, welche Options nimmst Du?
Code:
postgrey 14605 0.0 0.2 10624 8108 ? Ss May03 0:01 /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=127.0.0.1:60000 --delay=900 --retry-window=37h --auto-whitelist-clients=5 --greylist-text=.....
F
flyingoffice
Guest
Hallo!
Ich habe kein Postgrey sondern Plesk / qmail im Einsatz (siehe Signatur) und hatte nur Deinen Syslogeintrag von Postgrey als informativ Empfungen und bei mir dann nachgebildet.
Gruß flyingoffice
Ich habe kein Postgrey sondern Plesk / qmail im Einsatz (siehe Signatur) und hatte nur Deinen Syslogeintrag von Postgrey als informativ Empfungen und bei mir dann nachgebildet.
Gruß flyingoffice
A
Andre.Ho
Guest
Ok, ich putz mal Brille ;-)
A
Andre.Ho
Guest
Echt Helden bei Ebay:
May 5 02:51:40 server4 postfix/smtpd[11411]: NOQUEUE: reject: RCPT from mxsmfpool09.ebay.com[66.135.209.206]: 450 4.7.1 <mx55.smf.ebay.com>: Helo command rejected: Host not found; from=<watchnotice@ebay.de> to=<............> proto=ESMTP helo=<mx55.smf.ebay.com>
Jetzt muss ich wegen diesen Affen da meine Regeln ändern... oder doch nicht... warum soll ich deren Probleme bei mir lösen? Mal sehen was der betroffene Kunde sagt.
May 5 02:51:40 server4 postfix/smtpd[11411]: NOQUEUE: reject: RCPT from mxsmfpool09.ebay.com[66.135.209.206]: 450 4.7.1 <mx55.smf.ebay.com>: Helo command rejected: Host not found; from=<watchnotice@ebay.de> to=<............> proto=ESMTP helo=<mx55.smf.ebay.com>
Jetzt muss ich wegen diesen Affen da meine Regeln ändern... oder doch nicht... warum soll ich deren Probleme bei mir lösen? Mal sehen was der betroffene Kunde sagt.
Last edited by a moderator:
A
Andre.Ho
Guest
Und noch so ein Server-Guru:
Kann man echt vergessen die HELO Checks
Kann man echt vergessen die HELO Checks
